, mae'r mwyafrif (87%) o ddigwyddiadau diogelwch gwybodaeth yn digwydd mewn ychydig funudau, ac i 68% o gwmnïau mae'n cymryd misoedd i'w canfod. Cadarnheir hyn gan , ac yn unol â hynny mae'n cymryd 206 diwrnod ar gyfartaledd i'r rhan fwyaf o sefydliadau ganfod digwyddiad. Yn seiliedig ar brofiad ein hymchwiliadau, gall hacwyr reoli seilwaith cwmni am flynyddoedd heb gael eu canfod. Felly, yn un o'r sefydliadau lle ymchwiliodd ein harbenigwyr i ddigwyddiad diogelwch gwybodaeth, datgelwyd bod hacwyr yn rheoli seilwaith cyfan y sefydliad yn llwyr ac yn dwyn gwybodaeth bwysig yn rheolaidd. .
Gadewch i ni ddweud bod gennych chi SIEM eisoes yn rhedeg sy'n casglu logiau ac yn dadansoddi digwyddiadau, ac mae meddalwedd gwrthfeirws wedi'i osod ar y nodau diwedd. Serch hynny, , yn union fel y mae'n amhosibl gweithredu systemau EDR trwy'r rhwydwaith cyfan, sy'n golygu na ellir osgoi mannau "dall". Mae systemau dadansoddi traffig rhwydwaith (NTA) yn helpu i ddelio â nhw. Mae'r atebion hyn yn canfod gweithgaredd ymosodwyr ar gamau cynharaf treiddiad rhwydwaith, yn ogystal ag yn ystod ymdrechion i ennill troedle a datblygu ymosodiad o fewn y rhwydwaith.
Mae dau fath o NTAs: mae rhai yn gweithio gyda NetFlow, eraill yn dadansoddi traffig amrwd. Mantais yr ail systemau yw eu bod yn gallu storio cofnodion traffig amrwd. Diolch i hyn, gall arbenigwr diogelwch gwybodaeth wirio llwyddiant yr ymosodiad, lleoleiddio'r bygythiad, deall sut y digwyddodd yr ymosodiad a sut i atal ymosodiad tebyg yn y dyfodol.
Byddwn yn dangos sut y gallwch ddefnyddio NTA i ddefnyddio tystiolaeth uniongyrchol neu anuniongyrchol i nodi'r holl dactegau ymosodiad hysbys a ddisgrifir yn y gronfa wybodaeth . Byddwn yn siarad am bob un o'r 12 tacteg, yn dadansoddi'r technegau sy'n cael eu canfod gan draffig, ac yn arddangos eu canfod gan ddefnyddio ein system NTA.
Am sylfaen wybodaeth ATT&CK
Mae MITER ATT&CK yn sylfaen wybodaeth gyhoeddus a ddatblygwyd ac a gynhelir gan y MITER Corporation yn seiliedig ar ddadansoddiad o APTs byd go iawn. Mae'n set strwythuredig o dactegau a thechnegau a ddefnyddir gan ymosodwyr. Mae hyn yn galluogi gweithwyr proffesiynol diogelwch gwybodaeth o bob rhan o'r byd i siarad yr un iaith. Mae'r gronfa ddata yn ehangu'n gyson ac yn cael ei hategu gan wybodaeth newydd.
Mae'r gronfa ddata yn nodi 12 tacteg, sy'n cael eu rhannu â chamau ymosodiad seiber:
- mynediad cychwynnol;
- dienyddiad;
- cydgrynhoi (dyfalbarhad);
- dyrchafiad braint;
- atal canfod (osgoi amddiffyn);
- cael tystlythyrau (mynediad credential);
- archwilio;
- symudiad o fewn y perimedr (symudiad ochrol);
- casglu data (casglu);
- gorchymyn a rheoli;
- all-hidlo data;
- effaith.
Ar gyfer pob tacteg, mae sylfaen wybodaeth ATT&CK yn rhestru rhestr o dechnegau sy'n helpu ymosodwyr i gyflawni eu nod ar gam presennol yr ymosodiad. Gan y gellir defnyddio'r un dechneg ar wahanol gamau, gall gyfeirio at sawl tacteg.
Mae disgrifiad o bob techneg yn cynnwys:
- dynodydd;
- rhestr o dactegau y caiff ei ddefnyddio ynddynt;
- enghreifftiau o ddefnydd gan grwpiau APT;
- mesurau i leihau difrod o'i ddefnydd;
- argymhellion canfod.
Gall arbenigwyr diogelwch gwybodaeth ddefnyddio gwybodaeth o'r gronfa ddata i strwythuro gwybodaeth am ddulliau ymosod cyfredol a, chan gymryd hyn i ystyriaeth, adeiladu system ddiogelwch effeithiol. Gall deall sut mae grwpiau APT go iawn yn gweithredu hefyd ddod yn ffynhonnell o ddamcaniaethau ar gyfer chwilio'n rhagweithiol am fygythiadau oddi mewn .
Ynglŷn â Darganfod Ymosodiadau Rhwydwaith PT
Byddwn yn nodi'r defnydd o dechnegau o'r matrics ATT&CK gan ddefnyddio'r system — System NTA Positive Technologies, wedi'i chynllunio i ganfod ymosodiadau ar y perimedr a thu mewn i'r rhwydwaith. Mae PT NAD yn cwmpasu, i raddau amrywiol, bob un o 12 tacteg matrics MITER ATT&CK. Mae'n fwyaf pwerus wrth nodi technegau ar gyfer mynediad cychwynnol, symudiad ochrol, a gorchymyn a rheolaeth. Ynddyn nhw, mae PT NAD yn cwmpasu mwy na hanner y technegau hysbys, gan ganfod eu cymhwysiad trwy arwyddion uniongyrchol neu anuniongyrchol.
Mae'r system yn canfod ymosodiadau gan ddefnyddio technegau ATT&CK gan ddefnyddio rheolau canfod a grëwyd gan y tîm (PT ESC), dysgu peirianyddol, dangosyddion cyfaddawdu, dadansoddi dwfn a dadansoddi ôl-weithredol. Mae dadansoddiad traffig amser real ynghyd ag ôl-weithredol yn caniatáu ichi nodi gweithgaredd maleisus cudd cyfredol ac olrhain fectorau datblygu a chronoleg ymosodiadau.
mapio llawn o PT NAD i fatrics MITER ATT&CK. Mae'r llun yn fawr, felly rydym yn awgrymu eich bod yn edrych arno mewn ffenestr ar wahân.
Mynediad cychwynnol
Mae tactegau mynediad cychwynnol yn cynnwys technegau i dreiddio i rwydwaith cwmni. Nod ymosodwyr ar hyn o bryd yw cyflwyno cod maleisus i'r system yr ymosodwyd arno a sicrhau'r posibilrwydd o'i weithredu ymhellach.
Mae dadansoddiad traffig gan PT NAD yn datgelu saith techneg ar gyfer cael mynediad cychwynnol:
1. : cyfaddawd gyrru
Techneg lle mae'r dioddefwr yn agor gwefan a ddefnyddir gan ymosodwyr i ecsbloetio'r porwr gwe a chael tocynnau mynediad cymhwysiad.
Beth mae PT NAD yn ei wneud?: Os nad yw traffig gwe wedi'i amgryptio, mae PT NAD yn archwilio cynnwys ymatebion gweinydd HTTP. Mae'r ymatebion hyn yn cynnwys campau sy'n caniatáu i ymosodwyr weithredu cod mympwyol y tu mewn i'r porwr. Mae PT NAD yn canfod campau o'r fath yn awtomatig gan ddefnyddio rheolau canfod.
Yn ogystal, mae PT NAD yn canfod y bygythiad yn y cam blaenorol. Mae rheolau a dangosyddion cyfaddawd yn cael eu sbarduno pe bai'r defnyddiwr yn ymweld â gwefan a oedd yn ei ailgyfeirio i wefan gyda llawer o gampau.
2. : manteisio ar gymhwysiad sy'n wynebu'r cyhoedd
Manteisio ar wendidau mewn gwasanaethau sydd ar gael o'r Rhyngrwyd.
Beth mae PT NAD yn ei wneud?: Yn cynnal arolygiad dwfn o gynnwys pecynnau rhwydwaith, gan nodi arwyddion o weithgaredd afreolaidd. Yn benodol, mae yna reolau sy'n eich galluogi i ganfod ymosodiadau ar systemau rheoli cynnwys mawr (CMS), rhyngwynebau gwe offer rhwydwaith, ac ymosodiadau ar weinyddion post a FTP.
3. : gwasanaethau allanol o bell
Mae ymosodwyr yn defnyddio gwasanaethau mynediad o bell i gysylltu ag adnoddau rhwydwaith mewnol o'r tu allan.
Beth mae PT NAD yn ei wneud?: gan fod y system yn cydnabod protocolau nid yn ôl rhifau porthladd, ond yn ôl cynnwys pecynnau, gall defnyddwyr system hidlo traffig i ddod o hyd i bob sesiwn o brotocolau mynediad o bell a gwirio eu cyfreithlondeb.
4. : ymlyniad spearphishing
Yr ydym yn sôn am anfon drwg-enwog atodiadau gwe-rwydo.
Beth mae PT NAD yn ei wneud?: Yn echdynnu ffeiliau o draffig yn awtomatig ac yn eu gwirio yn erbyn dangosyddion cyfaddawdu. Mae ffeiliau gweithredadwy mewn atodiadau yn cael eu canfod gan reolau sy'n dadansoddi cynnwys traffig post. Mewn amgylchedd corfforaethol, ystyrir bod buddsoddiad o'r fath yn anghyson.
5. : dolen sbearphishing
Defnyddio dolenni gwe-rwydo. Mae'r dechneg yn cynnwys ymosodwyr yn anfon e-bost gwe-rwydo gyda dolen sydd, wrth glicio, yn lawrlwytho rhaglen faleisus. Fel rheol, mae testun a luniwyd yn unol â holl reolau peirianneg gymdeithasol yn cyd-fynd â'r ddolen.
Beth mae PT NAD yn ei wneud?: Yn canfod cysylltiadau gwe-rwydo gan ddefnyddio dangosyddion cyfaddawdu. Er enghraifft, yn y rhyngwyneb PT NAD gwelwn sesiwn lle roedd cysylltiad HTTP trwy ddolen sydd wedi'i chynnwys yn y rhestr o gyfeiriadau gwe-rwydo (phishing-urls).
Cysylltiad trwy ddolen o'r rhestr o ddangosyddion gwe-rwydo cyfaddawdu
6. : perthynas ymddiried
Mynediad i rwydwaith y dioddefwr trwy drydydd parti y mae'r dioddefwr wedi sefydlu perthynas ymddiriedus â nhw. Gall ymosodwyr hacio sefydliad dibynadwy a chysylltu â'r rhwydwaith targed trwyddo. I wneud hyn, maent yn defnyddio cysylltiadau VPN neu ymddiriedolaethau parth, y gellir eu nodi trwy ddadansoddiad traffig.
Beth mae PT NAD yn ei wneud?: yn dosrannu protocolau cais ac yn arbed y meysydd sydd wedi'u dosrannu i'r gronfa ddata, fel y gall dadansoddwr diogelwch gwybodaeth ddefnyddio hidlwyr i ddod o hyd i'r holl gysylltiadau VPN amheus neu gysylltiadau traws-barth yn y gronfa ddata.
7. : cyfrifon dilys
Defnyddio manylion safonol, lleol neu barth i awdurdodi gwasanaethau allanol a mewnol.
Beth mae PT NAD yn ei wneud?: Yn adfer tystlythyrau yn awtomatig o brotocolau HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos. Yn gyffredinol, mae hwn yn mewngofnodi, cyfrinair ac yn arwydd o ddilysu llwyddiannus. Os ydynt wedi cael eu defnyddio, cânt eu harddangos yn y cerdyn sesiwn cyfatebol.
Dienyddiad
Mae tactegau gweithredu yn cynnwys technegau y mae ymosodwyr yn eu defnyddio i weithredu cod ar systemau dan fygythiad. Mae rhedeg cod maleisus yn helpu ymosodwyr i sefydlu presenoldeb (tacteg dyfalbarhad) ac ehangu mynediad i systemau anghysbell ar y rhwydwaith trwy symud y tu mewn i'r perimedr.
Mae PT NAD yn caniatáu ichi ganfod y defnydd o dechnegau 14 a ddefnyddir gan ymosodwyr i weithredu cod maleisus.
1. : CMSTP (Gosodwr Proffil Rheolwr Cysylltiad Microsoft)
Tacteg lle mae ymosodwyr yn paratoi ffeil INF gosod maleisus arbennig ar gyfer y cyfleustodau Windows adeiledig CMSTP.exe (Gosodwr Proffil Rheolwr Cysylltiad). Mae CMSTP.exe yn cymryd y ffeil fel paramedr ac yn gosod y proffil gwasanaeth ar gyfer y cysylltiad anghysbell. O ganlyniad, gellir defnyddio CMSTP.exe i lwytho a gweithredu llyfrgelloedd cyswllt deinamig (*.dll) neu sgriptlets (*.sct) o weinyddion pell.
Beth mae PT NAD yn ei wneud?: Yn canfod trosglwyddo mathau arbennig o ffeiliau INF mewn traffig HTTP yn awtomatig. Yn ogystal â hyn, mae'n canfod trosglwyddiad HTTP sgriptiau maleisus a llyfrgelloedd cyswllt deinamig o weinydd pell.
2. : rhyngwyneb gorchymyn-lein
Rhyngweithio â'r rhyngwyneb llinell orchymyn. Gellir rhyngweithio â'r rhyngwyneb llinell orchymyn yn lleol neu o bell, er enghraifft trwy ddefnyddio cyfleustodau mynediad o bell.
Beth mae PT NAD yn ei wneud?: yn canfod presenoldeb cregyn yn awtomatig yn seiliedig ar ymatebion i orchmynion i lansio amrywiol gyfleustodau llinell orchymyn, megis ping, ifconfig.
3. : model gwrthrych cydran a dosbarthu COM
Defnyddio technolegau COM neu DCOM i weithredu cod ar systemau lleol neu bell wrth symud ar draws rhwydwaith.
Beth mae PT NAD yn ei wneud?: Yn canfod galwadau DCOM amheus y mae ymosodwyr fel arfer yn eu defnyddio i lansio rhaglenni.
4. : ecsbloetio ar gyfer cyflawni cleient
Manteisio ar wendidau i weithredu cod mympwyol ar weithfan. Y campau mwyaf defnyddiol i ymosodwyr yw'r rhai sy'n caniatáu gweithredu cod ar system bell, gan y gallant ganiatáu i ymosodwyr gael mynediad i'r system honno. Gellir rhoi'r dechneg ar waith gan ddefnyddio'r dulliau canlynol: postio maleisus, gwefan â gorchestion porwr, a manteisio o bell ar wendidau cymwysiadau.
Beth mae PT NAD yn ei wneud?: Wrth ddosrannu traffig post, mae PT NAD yn ei wirio am bresenoldeb ffeiliau gweithredadwy mewn atodiadau. Yn echdynnu dogfennau swyddfa yn awtomatig o e-byst a allai gynnwys campau. Mae ymdrechion i fanteisio ar wendidau yn weladwy mewn traffig, y mae PT NAD yn eu canfod yn awtomatig.
5. : mshta
Defnyddiwch y cyfleustodau mshta.exe, sy'n rhedeg cymwysiadau Microsoft HTML (HTA) gyda'r estyniad .hta. Oherwydd bod mshta yn prosesu ffeiliau gan osgoi gosodiadau diogelwch porwr, gall ymosodwyr ddefnyddio mshta.exe i weithredu ffeiliau HTA, JavaScript, neu VBScript maleisus.
Beth mae PT NAD yn ei wneud?: Mae ffeiliau .hta i'w gweithredu trwy mshta hefyd yn cael eu trosglwyddo dros y rhwydwaith - mae hyn i'w weld yn y traffig. Mae PT NAD yn canfod trosglwyddo ffeiliau maleisus o'r fath yn awtomatig. Mae'n dal ffeiliau, a gellir gweld gwybodaeth amdanynt yn y cerdyn sesiwn.
6. : PowerShell
Defnyddio PowerShell i ddod o hyd i wybodaeth a gweithredu cod maleisus.
Beth mae PT NAD yn ei wneud?: Pan ddefnyddir PowerShell gan ymosodwyr o bell, mae PT NAD yn canfod hyn gan ddefnyddio rheolau. Mae'n canfod allweddeiriau iaith PowerShell a ddefnyddir amlaf mewn sgriptiau maleisus a throsglwyddo sgriptiau PowerShell dros y protocol SMB.
7. : tasg a drefnwyd
Defnyddio Windows Task Scheduler a chyfleustodau eraill i redeg rhaglenni neu sgriptiau yn awtomatig ar adegau penodol.
Beth mae PT NAD yn ei wneud?: mae ymosodwyr yn creu tasgau o'r fath, fel arfer o bell, sy'n golygu bod sesiynau o'r fath yn weladwy mewn traffig. Mae PT NAD yn canfod gweithrediadau creu tasgau ac addasu amheus yn awtomatig gan ddefnyddio rhyngwynebau ATSVC ac ITaskSchedulerService RPC.
8. : sgriptio
Gweithredu sgriptiau i awtomeiddio gweithredoedd amrywiol ymosodwyr.
Beth mae PT NAD yn ei wneud?: yn canfod trosglwyddiad sgriptiau dros y rhwydwaith, hynny yw, hyd yn oed cyn iddynt gael eu lansio. Mae'n canfod cynnwys sgriptiau mewn traffig crai ac yn canfod trosglwyddiad rhwydwaith o ffeiliau gydag estyniadau sy'n cyfateb i ieithoedd sgriptio poblogaidd.
9. : cyflawni gwasanaeth
Rhedeg ffeil gweithredadwy, cyfarwyddiadau rhyngwyneb llinell orchymyn, neu sgript trwy ryngweithio â gwasanaethau Windows, megis Rheolwr Rheoli Gwasanaeth (SCM).
Beth mae PT NAD yn ei wneud?: yn archwilio traffig SMB ac yn canfod mynediad i SCM gyda rheolau ar gyfer creu, newid a chychwyn gwasanaeth.
Gellir gweithredu'r dechneg cychwyn gwasanaeth gan ddefnyddio'r cyfleustodau gweithredu gorchymyn o bell PSExec. Mae PT NAD yn dadansoddi'r protocol SMB ac yn canfod y defnydd o PSExec pan fydd yn defnyddio'r ffeil PSEXESVC.exe neu'r enw gwasanaeth safonol PSEXECSVC i weithredu cod ar beiriant anghysbell. Mae angen i'r defnyddiwr wirio'r rhestr o orchmynion a weithredwyd a chyfreithlondeb gweithredu gorchymyn o bell gan y gwesteiwr.
Mae'r cerdyn ymosod yn PT NAD yn dangos data ar y tactegau a'r technegau a ddefnyddir yn ôl y matrics ATT&CK fel y gall y defnyddiwr ddeall pa gam o'r ymosodiad y mae'r ymosodwyr arno, pa nodau y maent yn eu dilyn, a pha fesurau digolledu i'w cymryd.
Mae'r rheol ynghylch defnyddio'r cyfleustodau PSExec yn cael ei sbarduno, a allai ddangos ymgais i weithredu gorchmynion ar beiriant anghysbell
10. : meddalwedd trydydd parti
Techneg lle mae ymosodwyr yn cael mynediad at feddalwedd gweinyddu o bell neu system defnyddio meddalwedd corfforaethol a'i ddefnyddio i redeg cod maleisus. Enghreifftiau o feddalwedd o'r fath: SCCM, VNC, TeamViewer, HBSS, Altiris.
Gyda llaw, mae'r dechneg yn arbennig o berthnasol mewn cysylltiad â'r trosglwyddiad enfawr i waith anghysbell ac, o ganlyniad, cysylltiad nifer o ddyfeisiau cartref heb eu diogelu trwy sianeli mynediad anghysbell amheus.
Beth mae PT NAD yn ei wneud?: yn canfod gweithrediad meddalwedd o'r fath ar y rhwydwaith yn awtomatig. Er enghraifft, mae'r rheolau'n cael eu sbarduno gan gysylltiadau trwy'r protocol VNC a gweithgaredd y Trojan EvilVNC, sy'n gosod gweinydd VNC yn gyfrinachol ar westeiwr y dioddefwr ac yn ei lansio'n awtomatig. Hefyd, mae PT NAD yn canfod y protocol TeamViewer yn awtomatig, mae hyn yn helpu'r dadansoddwr, gan ddefnyddio hidlydd, i ddod o hyd i bob sesiwn o'r fath a gwirio eu cyfreithlondeb.
11. : gweithredu defnyddiwr
Techneg lle mae'r defnyddiwr yn rhedeg ffeiliau a all arwain at weithredu cod. Gallai hyn fod, er enghraifft, os yw'n agor ffeil weithredadwy neu'n rhedeg dogfen swyddfa gyda macro.
Beth mae PT NAD yn ei wneud?: yn gweld ffeiliau o'r fath yn y cam trosglwyddo, cyn iddynt gael eu lansio. Gellir astudio gwybodaeth amdanynt yng ngherdyn y sesiynau y cawsant eu trosglwyddo ynddynt.
12. : Offeryniaeth Rheoli Windows
Defnyddio'r offeryn WMI, sy'n darparu mynediad lleol ac o bell i gydrannau system Windows. Gan ddefnyddio WMI, gall ymosodwyr ryngweithio â systemau lleol ac anghysbell a chyflawni amrywiaeth o dasgau, megis casglu gwybodaeth at ddibenion rhagchwilio a lansio prosesau o bell wrth symud yn ochrol.
Beth mae PT NAD yn ei wneud?: Gan fod rhyngweithio â systemau anghysbell trwy WMI yn weladwy yn y traffig, mae PT NAD yn canfod ceisiadau rhwydwaith yn awtomatig i sefydlu sesiynau WMI ac yn gwirio'r traffig ar gyfer sgriptiau sy'n defnyddio WMI.
13. : Windows Remote Management
Defnyddio gwasanaeth Windows a phrotocol sy'n caniatáu i'r defnyddiwr ryngweithio â systemau anghysbell.
Beth mae PT NAD yn ei wneud?: Yn gweld sefydlu cysylltiadau rhwydwaith gan ddefnyddio Windows Remote Management. Mae sesiynau o'r fath yn cael eu canfod yn awtomatig gan y rheolau.
14. : XSL (Iaith Taflen Arddull Estynadwy) prosesu sgript
Defnyddir iaith farcio arddull XSL i ddisgrifio prosesu a delweddu data mewn ffeiliau XML. I gefnogi gweithrediadau cymhleth, mae safon XSL yn cynnwys cefnogaeth ar gyfer sgriptiau wedi'u mewnosod mewn amrywiol ieithoedd. Mae'r ieithoedd hyn yn caniatáu gweithredu cod mympwyol, sy'n arwain at osgoi polisïau diogelwch yn seiliedig ar restrau gwyn.
Beth mae PT NAD yn ei wneud?: yn canfod trosglwyddo ffeiliau o'r fath dros y rhwydwaith, hynny yw, hyd yn oed cyn iddynt gael eu lansio. Mae'n canfod yn awtomatig ffeiliau XSL yn cael eu trosglwyddo dros y rhwydwaith a ffeiliau gyda marcio XSL afreolaidd.
Yn y deunyddiau canlynol, byddwn yn edrych ar sut mae system PT Network Attack Discovery NTA yn dod o hyd i dactegau a thechnegau ymosodwyr eraill yn unol â MITER ATT&CK. Aros diwnio!
Awduron:
- Anton Kutepov, arbenigwr yng Nghanolfan Ddiogelwch Arbenigol PT, Positive Technologies
- Natalia Kazankova, marchnatwr cynnyrch yn Positive Technologies
Ffynhonnell: hab.com